MySQL Fehlermeldungen
Es mag vorkommen, dass sich ein Fehler in die SQL-Befehle einschleicht. Um diese zu finden empfiehlt es sich auf die entsprechenden Fehlermeldungen zurückzugreifen.
Sofern ihr ein SQL-Query in phpMyAdmin ausführt, erhaltet ihr direkt die Fehlermeldung zurück. Um eine Fehlermeldung in PHP mittels PDO anzuzeigen, können wir folgenden Code verwenden:
<?php
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
$statement = $pdo->prepare("SELECT email, password FROM user");
if($statement->execute()) {
while($row = $statement->fetch()) {
echo $row['email']."<br />";
}
} else {
echo "SQL Error <br />";
echo $statement->queryString."<br />";
echo $statement->errorInfo()[2];
}
?>execute() gibt uns true zurück, wenn die Ausführung des Statements funktioniert hat. Sollte ein Fehler aufgetreten sein, wie beim obigen SQL-Statement, gibt execute() false zurück. Im else-Teil der if-Anweisung geben wir zuerst den Query-String aus und anschließend die vom MySQL-Server gemeldete Fehlermeldung. Diese Fehlermeldung erhalten wir mittels $statement->errorInfo().
Beim obigen Script sollte die Ausgabe wie folgt aussehen:
|
1 2 3 |
SQL Error SELECT email, password FROM user Table 'test.user' doesn't exist |
MySQL beschwert sich in diesem Fall, dass die Tabelle user nicht existiert, denn die korrekte Schreibweise ist users, ohne s am Ende.
Passen wir den SQL-Query entsprechend an, erhalten wir bereits die nächste Fehlermeldung:
<?php
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
$statement = $pdo->prepare("SELECT email, password FROM users");
if($statement->execute()) {
while($row = $statement->fetch()) {
echo $row['email']."<br />";
}
} else {
echo "SQL Error <br />";
echo $statement->queryString."<br />";
echo $statement->errorInfo()[2];
}
?>Hier merkt der MySQL-Server an, dass die Spalte password nicht existiert, denn die korrekte Weise ist passwort.
Die Ausgabe der Fehlermeldung kann helfen schneller die Fehler in euren Queries zu entdecken und zu beheben.
Wem die obige Schreibweise zu lang ist kann auch folgende, kürzere Form verwenden:
<?php
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
$statement = $pdo->prepare("SELECT email, password FROM users");
$statement->execute() or die("SQL Error in: ".$statement->queryString." - ".$statement->errorInfo()[2]);
while($row = $statement->fetch()) {
echo $row['email']."<br />";
}
?>Der Teil hinter or wird nur ausgeführt, falls execute() nicht erfolgreich ausgeführt werden konnte. In diesem falls wird dann mittels die() die Fehlermeldung ausgegeben und das Script wird abgebrochen.
Selbst mit Fehlermeldung kann es dennoch manchmal problematisch sein den Fehler zu finden. Beliebte Fehler im Umgang mit MySQL-Datenbanken ist die falsche Schreibweise von Tabellen- oder Spaltennamen, die Verwendung von reservierten Wörtern als Spaltenname ( Liste mit reservierten Wörtern) oder die falsche Reihenfolge der Anweisung (z.B. LIMIT wird vor ORDER BY angegeben.
Fehler und Fehlerbehandlung im Produktiveinsatz
Die Fehlermeldung wie in den obigen Beispiel auszugeben ist in Ordnung solange ihr an der Entwicklung des Scripts sitzt. Sollte euer Script aber im produktivem Einsatz genutzt werden und reale Nutzer eurer Script nutzen, dann empfiehlt sich eine ausgefeiltere Fehlerbehandlung.
Zuerst einmal sollte ihr davon ausgehen, dass SQL-Queries auch mal nicht korrekt ausgeführt werden können, z.B. dass das Speichern eines neuen Eintrags fehlschlägt. Für solche Fälle solltet ihr den Nutzer darüber informieren, dass die Aktion nicht erfolgreich ausgeführt werden konnte. Dies kann beispielsweise wie folgt aussehen:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $statement = $pdo->prepare("INSERT INTO tabelle (spalte1, spalte2, splate3) VALUES (?, ?, ?)"); if($statement->execute(array('wert1', 'wert2', 'wert3'))) { echo "Dein Eintrag wurde erfolgreich gespeichert."; } else { echo "Leider ist ein Fehler beim Abspeichern aufgetreten. Sollte das Problem häufiger auftreten, bitte kontaktieren unseren Administrator unter [email protected]"; $error = date("Y-m-d H:i:s")." - ".__FILE__." - ".$statement->queryString." - ".$statement->errorInfo()[2]."\n"; file_put_contents("sqlerrors.log", $error, FILE_APPEND); } ?> |
Das Angeben einer Kontaktadresse empfiehlt sich für den Fehlerfall.
Im produktivem Einsatz sollte die Fehlermeldung die ihr mittels errorInfo() erhaltet dem Benutzer nicht angezeigt werden. Solche Fehlermeldungen verwirren meistens mehr als das sie helfen. Ebenso kann so etwas gezielt negativ ausgenutzt werden, beispielsweise kann ein Angreifer eure SQL-Queries so nachvollziehen und Umständen Schaden anrichten. Im obigen Beispiel wird deswegen das Datum, die Datei, der Query und die Fehlermeldung in die sqlerrors.log geschrieben. Um sicher vor Angreifern zu sein sollte diese Datei in einem geschützten Verzeichnis sich befinden. Als Alternative kann man auch einen Dateinamen nutzen, der von Angreifer unmöglich zu erraten ist, z.B. den Dateinamen sqlerrors_6hab4jabr34ha92asd.log
Autor: Nils Reimers